►  인공지능을 사용하여 사진 및 비디오에서 사람의 얼굴을 식별하는 얼굴인식 기술은 알고리즘에 의한 과도한 개인정보 침해와 이에 따른 시민감시 문제로 인해 논란의 중심으로 부상

•    특히 얼굴인식 기술의 오류 가능성에 대한 문제가 제기되면서, 소수자들에 대한 편향성과 과도한 통제에 대한 우려가 가중되는 상황

•   미국에서는 여러 주와 지방 차원에서 얼굴인식 기술에 대한 규율이 이루어지고 있으며 상업 분야에 이어 공공 분야에서도 얼굴인식 기술 이용에 제한을 가하려는 움직임이 확산

-   예컨대 샌프란시스코는 2019년 5월 정부 기관 및 경찰 당국의 얼굴인식 소프트웨어 이용을 금지했으며, 캘리포니아 오클랜드와 매사추세츠주 서머빌에서 그 뒤를 잇는 정책 동향이 포착

   이와 함께, 시민 단체들은 얼굴인식 기술의 개인정보 침해 가능성을 지적하며 거대 기술 기업들에게 압력을 가하고 기업들의 얼굴인식 기술 개발 및 판매에 윤리적 검토를 포함하도록 촉구

•    본 보고서에서는 이러한 움직임에 주목하여, 미국을 중심으로 상업 및 공공분야의 얼굴인식기술 이용과 관련한 개인정보 및 시민권 침해 논란의 최근 동향을 검토

 

2.  법률 및 정책 동향

 (1)   개요

►  미국의 경우에는 수사 당국을 포함한 법 집행 기관의 얼굴인식 기술 이용을 규제하는 연방 차원의 법률은 부재

•   연방 차원에서는 공공 기관의 얼굴 이미지 데이터 수집 및 보관 자체가 적법할 경우 해당 이미지를 얼굴 데이터로 변환하여 이용하기 위한 법적 근거가 따로 필요하지 않은 상황

•   주 단위 법률로는 2008년 제정된 일리노이 생체정보개인정보보호법(The Illinois Biometric Information Privacy Act of 2008, BIPA)이 얼굴인식 기술의 이용에 대해 규율

-    이 법은 얼굴인식 데이터를 포함한 생체정보 수집 문제를 다루는 미국 최초의 법률로서, 개인이 피해를 입었을 경우 고소가 가능하도록 규정

-   예컨대 지문, 성문, 얼굴 형상 스캔과 같은 특정 생체인식 데이터를 수집하기 전에 정보주체로부터 서면 동의 자료를 확보하도록 요구

•   미국 연방거래위원회(FTC)는 얼굴인식 기술 활용과 관련하여 개인의 프라이버시를 보호하기 위한 권고사항(FTC Recommends Best Practices for Companies That Use Facial Recognition Technologies)을 마련

•   미국 상무부 산하 통신정보관리청(NTIA)은 얼굴인식 기술의 상업적 활용을 위한 자발적 지침인 모범사례 권고사항(Privacy Best Practice Recommendations For Commercial Facial Recognition Use)을 제공

 

(2)   최근 동향

 ►  미 상원에서는 민주-공화 양당이 얼굴인식 데이터의 수집 및 공유에 앞서 정보주체의 명시적인 동의를 얻도록 한 법안(Commercial Facial Recognition Privacy Act)을 제출43) (‘19.3.14)

•   민주당의 Brian Schatz 상원의원과 공화당의 Roy Blunt 상원의원이 공동 발의한 이 법안은 상용 목적으로 얼굴인식 기술을 이용하는 경우, 정보주체의 동의 없이 개인을 식별하거나 추적하기 위해 데이터를 수집·공유·판매하는 것을 금지44)

•   이와 함께, 얼굴인식 데이터가 수집 또는 이용될 때마다 정보주체에게 해당 내용을 통보하도록 의무화

•  특히 얼굴인식 기술을 도입하기에 앞서 제3자에 의한 테스트를 수행하도록 요구함으로써, 얼굴인식 기술의 편향성에 따른 차별과 오류 가능성을 극복하도록 독려

•    Schatz 의원은 이 법안이 통과될 경우 얼굴인식 기술의 사용과 생체 데이터 공유 과정에서 정보주체에게 투명한 정보를 제공하고 통제권을 강화할 수 있을 것이라고 강조

 

►  미국 샌프란시스코는 경찰을 비롯한 법 집행 기관과 시 정부기관의 얼굴인식 소프트웨어 사용을 금지함으로써 기술의 오남용에 따른 피해를 방지하기로 결정45) (‘19.5.14)

•    법 집행 과정에 얼굴인식 기술의 사용을 금지하는 조례가 8:1로 가결됨에 따라, 샌프란시스코는 미국의 주요 대도시 중 처음으로 경찰 당국이 범죄 용의자 색출을 위해 얼굴인식 기술을 사용하지 못하도록 규정

•    이와 관련, 샌프란시스코 경찰국은 2013년과 2017년 사이에 사진 데이터 기반의 얼굴인식 기술 이용에 대해 테스트한 바 있지만, 현재는 얼굴인식 소프트웨어를 사용하지 않는다고 발표

•   한편, 이 같은 금지 조치는 시 경찰 및 카운티 보안관 부서를 포함한 정부 기관에 적용되고, 기업이나 개인이 이용 중인 휴대폰 등의 잠금 해제를 위한 얼굴인식 기술 이용에는 영향을 미치지 않음

►  미 캘리포니아주 샌프란시스코에 이어 매사추세츠주 서머빌(Somerville)에서도 얼굴인식 기술의 사용을 금지하는 조례(Face Surveillance Full Ban Ordinance)를 제정46) (‘19.6.28)

•  이 조례는 얼굴인식을 “개인의 신체적 특성에 기초하여 개인 식별을 지원하는 자동화 또는 반(半) 자동화된 절차”로 정의하고, 시 정부의 모든 부서와 기관들이 개방된 공간에서 얼굴인식 기술을 사용하는 것을 금지

•   샌프란시스코에 이어 1개월 만에 다른 지역에서도 이와 유사한 조치가 취해짐으로써 미국의 주요 도시에서 얼굴인식 기술의 이용에 대한 경각심이 확대되고 있음을 시사

43  https://www.theverge.com/2019/3/14/18266249/facial-recognition-bill-data-share-consent-senate-commercial-facial-recognition-privacy-act

44  https://www.nextgov.com/emerging-tech/2019/03/facial-recognition-bill-would-ban-companies-sharing-your-face-without-consent/15  590/

45  https://www.nytimes.com/2019/05/14/us/facial-recognition-ban-san-francisco.html

46  https://www.vice.com/en_us/article/paj4ek/somerville-becomes-the-second-us-city-to-ban-facial-recognition

 

•   한편, 2017년 10월부터 시행된 서머빌의 감시기술집행정책(Somerville's Executive Policy on Surveillance Technology)에 따르면, 도시에서 감시 기술을 이용하기 위해서는 개인 정보보호처리방침, 데이터 공유 정보, 연간 이용 보고서 등이 필요

 

3.  기업 및 기술 동향

(1)   Amazon의 Rekognition 논란

►    Amazon은 클라우드 컴퓨팅 사업부인 AWS(Amazon Web Services)를 통해 “Rekognition”47)이라는 얼굴인식 기술 솔루션을 경찰 등 법집행 기관에 판매

•   미 오레곤주의 올랜도 경찰청과 워싱턴 카운티 보안관 사무실 등이 “Rekognition”의 주요 고객에 포함된다고 공개

•   워싱턴 카운티의 경찰 당국은 Amazon의 인공지능 기반 얼굴 검색 도구인 Rekognition을 치안 및 감시 업무를 위해 활용하고 있으며, 경찰 당국은 지난 2001년부터 촬영된 30만 장 규모의 범죄자 촬영 사진(머그샷) 데이터베이스를 기반으로 2018년 한 해 동안 Rekognition에서 1,000여 건의 얼굴 검색을 진행

•  미국의 경찰 조직들은 최근 수년간 Cognitec, IDEMIA, NEC 등의 업체가 구축한 얼굴 검색 시스템을 다양하게 사용해왔으나, Amazon의 Rekognition은 활성화가 쉽고 주요 기술 인프라가 필요하지 않으며 비용이 저렴하다는 점에서 파급력이 더욱 크다고 평가48)

•  이에 대해 인공지능 기술 연구자들은 얼굴인식 기술 이용의 편향성이 공공기관에 적용되는 경우에 대한 우려를 전달하고 규제공백 상태에서 이를 제대로 통제 할 수 없을 것이라고 경고49)

-  아마존의 Rekognition 프로그램은 백인남성보다 흑인여성에 대한 식별 오류 비율이 훨씬 높은 것으로 확인

►  시민단체와 기술 전문가들을 중심으로 공공기관에 대한 Amazon의 얼굴인식 기술 판매에 대한 비판 여론이 제기되며 논란이 확산

•   미국 시민자유연맹(America Civil Liberties Union, ACLU)은 Amazon의 시애틀 본사에 15만 명 이상의 서명을 받은 ‘감시기술 판매 중단’ 탄원서를 전달 (`18.6.18)

 

47  인공지능을 사용하여 사진 및 비디오에서 사람의 얼굴을 식별하는 소프트웨어 제품

48  https://www.washingtonpost.com/technology/2019/04/30/amazons-facial-recognition-technology-is-supercharging-local-police/

49  https://www.sfgate.com/business/article/AI-experts-criticize-Amazon-s-13742500.php

 

-   이 탄원서는 Amazon이 얼굴인식 기술을 정부에 제공하는 것을 중단하도록 요청하기 위한 것으로, Demand Progress와 Fight for the Future 등 여러 단체들이 ACLU와 함께 하며 다른 지역에서 9만 건 이상의 서명을 확보

-   Rekognition은 많은 사람들의 사진에서 실시간으로 얼굴을 식별하고 복잡한 행사와 공공장소에서도 이러한 식별 기능이 적용되므로 시위 참가자 등에 대한 감시가 가능해져 시민권과 개인 프라이버시를 위협할 수 있다는 것이 이 단체들의 주장

•   Google, Facebook, Microsoft의 인공지능 기술 전문가들과 튜링상(Turing Award)을 수상한 Yoshua Bengio 등 인공지능 연구자들도 Amazon이 법 집행 기관에 얼굴인식 기술을 판매하는 것을 중단해야 한다고 촉구 (‘19.3.26)

•   법집행 기관에 대한 ‘Rekognition’ 판매를 반대하는 측에서는 시민 감시와 인권에 미칠 수 있는 영향을 고려하여 이 소프트웨어를 누가 어떻게 활용할 수 있는가에 대한 강력한 감독이 이루어져야 한다고 주장

•   그러나 Amazon의 주주들은 얼굴인식 소프트웨어 ‘Rekognition’을 정부기관에 당분간 판매하지 않기로 한 의안을 부결50) (‘19.5.22)

- Rekognition의 판매를 전면적으로 제한하는 대신 독립적인 조사를 통해 잠재적 위험성에 대한 평가가 완료될 때까지 판매를 일시 중지하는 내용의 의안에 대한 찬성율은 2%에 불과

 

(2)   Axon의 얼굴인식 기술 탑재 중단 결정

 ►   미국의 경찰용 바디캠(police body cameras) 제조업체 Axon은 성별과 인종에 대한 인식 오류 문제를 이유로 자사의 바디캠 기기에 얼굴인식 기술 탑재를 당분간 중단하기로 결정51) (‘19.6.28)

•  인공지능, 컴퓨터 과학, 개인정보보호, 법 집행, 시민의 자유 및 공공 정책을 포함한 다양한 분야의 전문가들로 구성된 Axon의 AI 윤리위원회는 얼굴인식 기술의 신뢰성이 떨어진다는 보고서를 제출

-      보고서에서는 △얼굴인식은   현재   윤리적으로   사용하기에   충분하지   않으며

△얼굴인식 기술의 적용은 해당 기술의 영향을 받는 사람들의 동의를 전제로 해야 하고 △얼굴인식 프로그램이 실질적인 혜택을 제공한다는 강력한 증거가 확보된 후 이 기술의 사용에 대한 논의를 진행할 것을 권고

 

50  https://techcrunch.com/2019/05/22/amazon-reject-facial-recognition-proposals/

51  https://techcrunch.com/2019/06/27/police-body-cam-maker-axon-says-no-to-facial-recognition-for-now/

 

•   AI 윤리위원회는 인공지능 기반의 얼굴인식 기술이 향후 Axon의 제품에 포함될 경우, 이 기술의 오남용 방지를 위해 과도한 맞춤형(customized) 기능을 제한할 것을 권고

 

(3)   미 로스앤젤레스 국제공항의 얼굴인식 기술 도입 논란

►   얼굴인식 기술을 활용하여 탑승 및 보안 프로세스를 간소화하기 위해 설계된 로스앤젤레스 국제공항의 파일럿 프로그램에 대한 우려가 확대

•   미 국토안보부(Department of Homeland Security, DHS)는 얼굴인식 기술을 사용하여 국제 여행자의 신원을 확인하는 여행자인증서비스(The Traveler Verification Service, TVS) 프로젝트를 진행

•   CBP(Customs and Border Patrol)와 TSA(Transportation Security Administration)의 파트너십을 통해 시행되는 TVS는 미국 시민의 얼굴 스캔 데이터를 최대 14일간 저장하며, 항공사 등이 승객을 확인하기 위해 이 데이터를 이용하도록 허용

•  승객의 얼굴이 공항 게이트에서 스캔된 후 해당 데이터가 세관 및 국경 보호소로 보내지고, 생년월일, 여권, 비행 정보와 같은 개인 식별 데이터와 연결되는 것이 특징

•   이와 관련, 개인정보보호 옹호 단체들은 항공사가 규제되지 않은 상태에서 데이터 이용 및 저장 방식에 대한 방침을 자의적으로 결정할 수 있도록 허용한 것에 대해 비판

•   2018년 8월부터 진행된 제 2단계 시범 서비스에서는 특정 국제항공편으로 미국을 출발하는 승객들을 대상으로 확보해놓은 이미지를 CBP와 TSA가 수집해 이를 TSA의 검색대에서 촬영된 개별 승객들의 사진과 대조하도록 지원

-  승객의 이미지 자료는 매칭 과정에서 사용된 TSA 태블릿에서 2분 내에 삭제되지만, TVS 클라우드 매칭 서비스에서 12시간, 미국 시민권자가 아닌 경우 자동 타켓팅 시스템 통합 승객 모듈 (Automated Targeting System Unified Passenger Module)에서 최대 14일 동안 보관될 수 있음

•   국토안보부는 TVS 프로젝트에 대한 개인정보영향평가를 통해 얼굴인식 기술과 관련된 개인정보 침해 위험을 완화할 수 있다고 강조

•   민주당의 Ed Markey 상원의원과 공화당의 Mike Lee 상원의원 등이 개인정보보호 장치가 설치될 때까지 해당 생체 인식 시스템의 적용을 중지해줄 것을 국토 안보부에 요청하는 등 시스템의 부정확성과 개인정보 침해 가능성에 대한 우려가 지속적으로 제기

 

4.  시민단체 동향

►  개인보호 옹호 단체인 FPF(The Future of Privacy Forum)는 기업과 정책 입안자가 소비자 대상의 얼굴인식 기술 시스템을 이해하고 평가할 수 있도록 지원하는 자료를 공개 (`18.9.20)

•   FPF는 새로 발표된 보고서(Privacy Principles for Facial Recognition Technology in Consumer Applications)를 통해 동의, 의견 존중, 투명성, 데이터 보안, 개인정보보호중심설계, 무결성, 책임성 등 개인정보보호 관련 원칙들에 대해 설명

•  이 보고서는 얼굴인식 기술이 많은 이점을 제공하지만 이에 수반되는 개인정보보호 문제에 대한 고려가 필요하다는 점을 지적

 

►  ACLU(American Civil Liberties Union) 등 90개의 시민단체와 인권단체는 Amazon, Microsoft, Google이 얼굴인식 기술 분야 등에서 정부와의 협력을 자제하도록 호소 (`19.1.15)

•    이번 서한 발송은 FBI가 Amazon의 얼굴인식 기술인 Rekognition에 대한 시험을 진행하고 있다는 사실이 보도되고, 정부가 이러한 기술을 오용할 가능성에 대한 우려가 제기된 데 따라 이루어진 대응 조치

•     이 단체들은 Amazon, Microsoft, Google의 임원들에게 보낸 서한에서 정부에 얼굴인식 기술을 판매하는 것은 시민들을 위험에 빠뜨리고 공공의 신뢰를 훼손하는 감시 시스템을 구축하는 것이라고 지적

 

►  EPIC과 Fight for the Future 등 개인정보보호 및 민권옹호 단체들은 일반인 대상의 얼굴인식 기술 이용을 중지하도록 미 국토안보부(DHS)에 요청52) ('19.7.9)

•     미 하원의 국토안보부 청문회에서 교통보안관리국, CBP(Customs and Border Protection), 첩보기관 등의 얼굴인식 기술 이용에 대한 질의가 예상되는 가운데, 주요 민간단체들이 이를 겨냥한 개인정보보호 캠페인을 진행

•    특히 시민단체 Fight for the Future는 전용 웹 사이트를 개설하고 미 연방 정부 차원에서 얼굴인식 기술 이용을 전면적으로 금지할 것을 촉구

•   인권운동가들과 기술전문가들은 얼굴인식 기술에 대해 △부정확한 얼굴인식 기능으로 인한 오류와 사회적 편향성 문제를 지적하는 한편 △얼굴인식 기술이 정확한 경우 시민에 대한 정부의 감시를 강화할 위험성을 안고 있다고 지적

 

52  https://www.buzzfeednews.com/article/daveyalba/campaign-against-facial-recognition-house-homeland-security

 

 

[참고] 유럽 지역 DPA의 주요 동향

 

 

►   EU의 개인정보보호 감독기구(DPA)들은 2019년 7월 9일 벨기에 브뤼셀에서 열린 합동 회의에서 얼굴인식 기술의 이용을 효과적으로 제한하기 위한 새로운 가이드라인에 대해 논의 (‘19.7.9)

•  DPA들은 특히 얼굴인식 데이터를 EU GDPR이 "민감한 데이터(sensitive data)"로 간주하는 생체인식 데이터(biometric data)로 규정하는 방안을 검토

•  얼굴인식 데이터가 민감한 데이터로 분류될 경우, 정보주체의 명시적 동의가 요구되는 등 엄격한 개인정보보호 조치 없이는 데이터 수집 자체가 금지될 수 있음

•  유럽지역 DPA들의 이 같은 움직임이 실현될 경우, EU 시민들의 데이터 수집과 관련해 EU GDPR의 적용을 받는 실리콘밸리 기업들과 시민들의 얼굴인식 정보를 이용하는 정부기관들에게 광범위한 영향을 미칠 것으로 전망

 

►  영국의 개인정보보호 감독기구 ICO는 런던 킹스크로스 지역에서 공공안전을 이유로 얼굴인식 카메라를 사용하는 관행과 수백만 건의 개인 생체 데이터가 유출되었을 가능성에 대한 조사를 시작53) ('19.8.19)

•  ICO의 Elizabeth Denham 커미셔너는 이번 조사를 통해 얼굴인식 기술이 사용되는 방식에 대한 정보를 확보하는 것 외에도, 이러한 시스템이 현장에서 운영되며 데이터보호법을 준수하고 있는지 평가할 것이라고 설명

•   ICO의 조사 소식과 함께, 시장조사업체 ABI Research의 Michela Menting 이사는 얼굴인식 정보를 비롯한 생체 데이터가 유출되는 경우 인공지능 기술을 활용해 기존에 있던 인물의 얼굴을 합성하고 조작하는 일명 “딥 페이크(deep fake)”에 악용될 수 있다고 지적

•  Menting 이사에 따르면, 다양한 얼굴 표정이 담겨 있는 방대한 규모의 얼굴인식 데이터야말로 정교한 딥 페이크의 핵심 요소이며, 얼굴인식 정보가 유출되면 해당 정보를 통해 딥 페이크를 위한 더 강력한 데이터베이스 구축도 가능

 

►  EU집행위원회(European Commission, EC)는 시민들을 공공 감시로부터 보호하기 위해, 얼굴인식 기술 이용에 대한 규제를 대폭 개편하는 방안을 모색54) (‘19.8.22)

•  EC 관계자는 특히 △기업이나 공공 영역에서 "얼굴인식 기술이 무분별하게 사용되는 것"에 대해 규율이 이루어져야 하며 △얼굴인식 데이터가 언제 사용되는지 정보주체들이 알 수 있도록 해야 한다는 점을 강조

•   EC는 규제 개편 계획에 대해 직접적으로 언급하지 않고 있지만, EC 대변인은 얼굴인식을 포함한 추적 및 프로파일링 관행에 대한 새로운 규제의 필요성을 검토하기 위해 2018년 6월 고위급 전문가 그룹이 구성되었음을 지적

 

53  https://en.mercopress.com/2019/08/19/uk-investigation-into-breaches-in-the-storage-of-public-s-biometric-data

 

5.  시사점

 

►  얼굴인식 기술을 둘러싼 개인정보 침해 논란은 신기술의 발전 속도와 이에 대한 규제 환경 간 불일치가 드러나는 대표적인 사례로 주목

•   얼굴인식 기술에 대해 비판적인 진영에서는 이 기술이 상업적 목적은 물론 법 집행 영역에까지 적용되기에는 오류 발생 가능성이 크고 그로 인한 시민의 불이익이 우려된다는 점을 지적

•   반면 얼굴인식 기술의 이용을 금지하기보다는 공항과 국경을 안전하게 지키고 치안을 강화하며 소비자의 편익을 높이기 위한 기술의 유용성을 인정하고, 얼굴인식 기술의 신뢰성을 확보할 수 있는 방안을 모색하는 것이 필요하다는 반론도 제기

•    얼굴인식 기술을 둘러싼 이해관계 대립을 중재하기 위해 Stop Crime SF와 같은 단체들은 기술의 안정성이 충분히 검증되기까지 당분간 얼굴인식 기술의 도입을 정지하자는 대안도 제시

•  이처럼 얼굴인식 기술에 대한 다양한 접근방식이 경합하는 가운데 민간 및 공공분야에서 이 기술의 수요는 계속 확산될 것으로 예상되며, 이에 따라 안전한 얼굴인식 기술 이용을 위한 개인정보보호 요구사항이 정교화 되어야 할 것으로 전망

•   법제 환경이 정비될 때까지는 적지 않은 시간과 노력이 필요하므로, 그 공백을 채우기 위한 조직 차원의 자율규제 노력과 함께 얼굴인식 기술에 대한 정확한 이해와 대응방안 마련을 위한 개인정보보호 감독기구(DPA)의 활동도 본격화될 것으로 기대

-   주요국 DPA들이 우선순위를 두고 있는 주요 활동 추진 영역 중에 얼굴인식과 같은 신기술 관련 개인정보보호 문제에 대한 점검 문제가 포함되는55) 등 구체적인 대응 움직임이 감지되고 있음

 

 

54 https://www.cnet.com/news/eu-reportedly-wants-strict-limits-for-indiscriminate-facial-recognition/